移动端AI安全再突破！水印保护新范式：403个AI App成功保护率超8成

今天小编分享的科学经验：移动端AI安全再突破！水印保护新范式：403个AI App成功保护率超8成，欢迎阅读。

随着智能手机和物联网设备普及，移动端 AI 成为趋势，带来离线运行、低延迟、隐私保护等优势。然而，模型本地存储同时带来了严重风险。

比如模型提取与盗窃：攻击者可以通过逆向工程提取模型，窃取开发者的核心资产；还有知识产权侵犯：被盗模型可能被非法重用、再分发、商业化，带来经济损失。

那么如何给手机里的 AI 模型加密？

来自墨尔本大学、西澳大学、香港城市大学和慕尼黑工业大学提出了水印保护新范式—— THEMIS 框架，首个针对移动端 AI 模型部署后保护提出的系统性解决方案。该研究已被全球顶级安全会议 USENIX Security 2025 接收。

具体来说，它是一种自动工具，它通过重构可写对应模型来解除设备上 DL 模型的只读限制，并利用设备上 DL 模型的不可训练性来解决水印参数问题，保护模型所有者的知识产权。

各种数据集和模型结构的广泛实验结果表明，THEMIS 在不同指标方面都具有优势。

此外，还对来自 Google Play 的 403 个现实世界 DL 移动应用程式进行了实证调查，成功率高达 81.14%，显示了 THEMIS 的实用性。

移动端 AI 模型的安全困境

在移动端 AI 模型的使用场景中，存在三类主要参与方：

安卓应用商店：提供移动应用程式，供大众广泛访问。

深度学习应用开发者：创建包含本地模型的移动应用程式。

攻击者：试图非法窃取本地模型以获取经济利益。

而在现实场景中，许多移动端深度学习（DL）应用程式中的本地模型缺乏保护，主要原因包括：

开发者知识不足：缺乏对模型盗窃和保护措施的认识。

缺少工具支持：即使意识到风险，市场上也缺乏现成的本地模型水印 SDK。

技术门槛高：即便了解水印的重要性，开发者也可能缺乏技术能力去实现。

这些问题导致本地模型盗窃变得轻而易举，对开发者的知识产权造成巨大的侵犯。

THEMIS 的角色

THEMIS 旨在帮助普通 DL 应用开发者，从应用商店的角度出发，保护本地模型的知识产权。

对应行业中的三大挑战，他们分别给出了三大创新。

挑战一：提取加密模型的难题

移动端深度学习应用中，有些模型往往是加密存储的，直接获取并不容易。提取加密模型面临一个主要困难：

模型加密与缺失元数据：提取的模型经常缺少元数据，如输入 / 输出描述和预处理细节，导致模型在标准环境下不可用。

THEMIS 通过执行跟踪方法，精准提取加密模型中的元数据：

檔案分析：使用 Apktool 解压 Android APK，获取近乎原始的檔案结构。

模型识别：扫描解压后的 APK，识别出符合模型命名规范的檔案。

动态提取：对加密模型进行运行时分析，捕获解密 API 调用，补全元数据信息，确保提取的模型可用。

挑战二：只读 ( Read-only ) 特性

许多移动端模型在部署时被编译为优化格式，模型参数只读，无法修改。这使得模型部署后难以进行任何改动，包括嵌入水印。

THEMIS 通过深度解析模型结构，使只读模型具备写入能力，为后续水印嵌入奠定基础。

蓝图提取：利用官方 Schema 檔案获取模型结构。

代码生成：自动生成操作模型的类和方法。

反序列化与写入：提取数据并生成可写模型，全程自动化，无需人工干预。

挑战三：仅推理 ( Inference-only ) 特性

许多移动端模型在部署时去除了反向传播能力，成为仅推理模型，这使得传统水印嵌入方法（依赖模型训练）难以直接应用。

THEMIS 提出FFKEW 算法，无需重新训练，即可在模型中高效嵌入水印。

高效：通过一次模型推理确定水印参数。

精准：在模型权重中嵌入水印，具有不可逆性和不可伪造性。 

鲁棒性：在提取和转换攻击下，水印仍能保持显著特征。

实验效果

THEMIS 框架在实际应用场景中表现出色，经过严格实验验证，证明其在保护已部署、加密、只读、仅推理移动端 AI 模型方面的有效性和鲁棒性。

模型完整性保障：嵌入水印后，模型准确率影响低于 2%，验证其在实际应用中的稳定性。

多领網域覆盖：包括医疗、金融、智能家居等多个应用场景，展现了 THEMIS 框架的广泛适用性。

攻击防御能力：在模型提取和转换攻击下，水印仍能保持显著特征，验证其在恶意攻击下的鲁棒性。

欢迎更多学术研究者和产业伙伴加入，推动移动端 AI 安全研究，共同打造更强大的模型保护生态。

如果你对移动端 AI 的安全、隐私与軟體工程问题感兴趣，欢迎查阅这份我们精心整理的资源清单 :   https://github.com/Jinxhy/On-device-AI-Resources   其涵盖前沿研究、系统设计思考与攻击防御分析，适合科研人员与开发者参考。

你对移动端 AI 模型的知识产权保护有何见解？欢迎在评论区留言。

论文 PDF：  https://arxiv.org/pdf/2503.23748v1

代码仓库：  https://github.com/Jinxhy/THEMIS

一键三连「点赞」「转发」「小心心」

欢迎在评论区留下你的想法！

—  完  —

学术投稿请于工作日发邮件到：

[email protected]

标题注明【投稿】，告诉我们：

你是谁，从哪来，投稿内容‍

附上论文 / 项目主页链接，以及联系方式哦

我们会（尽量）及时回复你

点亮星标

科技前沿进展每日见